Для компаний, осознавших, что главный источник конкурентоспособности бизнеса сегодня – эффективное использование передовых технологий, создающих дополнительную ценность для клиентов, безопасность и конфиденциальность данных значит больше оптимизации затрат, поскольку становится драйвером дохода и роста бизнеса. Постоянные утечки данных заставляют потребителей с сомнением относиться к бизнесам, пренебрегающих кибер-угрозами. Пытаясь защитить свои данные, компании, как правило используют NDA (Non-disclosure agreement, договор о неразглашении конфиденциальной информации) заключённый двумя сторонами с целью взаимного обмена данными, знаниями или другой информацией с ограничением к ней доступа третьим лицам. Данный тип соглашений служит для предотвращения утечки любой конфиденциальной информации: от коммерческой тайны до персональных данных.
Практически каждый такой документ, с которым автору приходилось сталкиваться на практике, содержит следующие положения:
- передающая сторона должна обозначать принадлежность сведений конфиденциальной информации путем проставления грифа конфиденциальности на носителях информации;
- при осуществлении обработки конфиденциальных данных, стороны обязуются соблюдать принципы и правила обработки таких данных, их конфиденциальность и безопасность, обеспечивая высокий уровень защиты;
- получающая сторона обязуется вести учет лиц, которым передавалась конфиденциальная информация, информировать своих работников о конфиденциальном характере такой информации и обязательствах по ее защите.
Если читатель решит реализовать данные требования применительно к обмену данными в электронном виде (что сегодня и происходит в 90% случаев такого обмена), то он непременно придет к выводу что организовать «работающий» режим конфиденциальности непросто. Может оказаться, что привлечь к ответственности виновного и возместить ущерб, равно как и отстоять свои права в суде, не получится.
Подтверждение этому — актуальная судебная практика. В Федеральном законе «О коммерческой тайне» от 29.07.2004 N 98-ФЗ определены, в том числе следующие меры по охране конфиденциальности информации, которые должен принять обладатель информации:
- должен быть организован учет лиц, которые получили доступ к коммерческой тайне, а также лиц, которым конфиденциальная информация передана или предоставлена;
- на материальные носители, содержащие коммерческую тайну, должен быть нанесен гриф «Коммерческая тайна» с указанием обладателя информации.
Отсутствие грифа “Коммерческая тайна” с указанием обладателя этой информации, учета лиц, получивших доступ к информации, для судов является основанием считать, что в отношении документов, разглашение содержания которых работодатель вменяет в вину работникам, режим коммерческой тайны не установлен.
Еще хуже обстоят дела с возмещением убытков от утечек конфиденциальных сведений и обоснованием суммы реального ущерба, причиненного работодателю инсайдером, в связи с отсутствием объективных методик для таких расчетов.
На сегодняшний день существуют решения, позволяющие управлять конфиденциальными (классифицированными) данными в пределах корпоративной сети. Для передачи партнерам и контрагентам (вне периметра) существует два основных варианта:
- передача данных в криптоконтейнере, позволяющая безопасно передать данные и обеспечить доступ к ним определенному лицу (ID рабочей станции, пароль и т.п.). Но при получении доступа к данным (их расшифровке), пользователь волен поступать с ними по своему усмотрению. Вердикт: НЕБЕЗОПАСНО!
- передача данных в закрытом формате, позволяющая только просмотр данных (электронные книги, и т.п.). При таком варианте защиты у пользователя отсутствует возможность работы (редактирования и т.п.) с такими данными. Вердикт: НЕТ ДОСТУПА (полноценного).
Поэтому бизнесу необходимо решение, которое обеспечило бы как необходимый уровень безопасности, так и доступ к данным, достаточный для выполнения повседневных рабочих процессов. Новый продукт Perimetrix SafeBUS в рамках проекта Perimetrix предоставит возможность обмена конфиденциальной шифрованной информацией между организациями, которым необходима совместная работа с ней без риска компрометации даже после расшифровки из криптоконтейнера.
Perimetrix SafeBUS будет обладать следующими новыми функциями:
- обеспечение обмена криптографически защищенной информации без доступа к внутренней корпоративной сети;
- компактный агент, позволяющий осуществлять просмотр и работу с конфиденциальной информацией при условии наличия доступа в интернет без доступа к корпоративной сети, обеспечивающий доступ к информации с учетом политик безопасности, в рамках которых был разработан конфиденциальный документ;
- обогащение атрибутов документов новыми параметрами, на основании которых будет определяться классификационная метка.
Защищенный периметр для хранения конфиденциальной информации при использовании целевого продукта может включать в себя публичное или частное облако, файловый сервер, персональный компьютер или рабочую станцию работника, базу данных.
При прохождении конфиденциального документа через серверный компонент получателя данных будет происходить анализ атрибутов документов, их доопределение и анализ на предмет их соответствия политикам безопасности, доступным получателю, соответственно присвоение классификационных меток.
Основные принципы, заложенные в целевой продукт, можно определить как:
- конфиденциальные документы на рабочих местах с агентом SafeUse обогащаются дополнительными атрибутами;
- доступ к конфиденциальной информации без установленного агента не предоставляется;
- вместе с установкой агента обеспечивается также возможность использования как частных, так и глобальных политик всех серверов в рамках системы защищенного обмена конфиденциальными документами;
- на основании дополнительных атрибутов, в том числе искусственно присваиваемых за счет ручного присвоения классификационных меток, осуществляется применение политик безопасности – совокупности правил работы с классифицированными объектами;
- информация о правах конкретного пользователя хранится на одном или более связанных серверов;
- любое обращение к конфиденциальному документу сопровождается проверкой соответствия прав доступа к документу обращающегося ограничениям, установленным на объект, в соответствии с политиками за счет обращения к серверной компоненте;
- при проверке соответствия прав доступа к документу и политик производится поиск наличия разрешения по всем связанным серверам в рамках системы защищенного обмена конфиденциальными документами.
Новый программный комплекс Perimetrix SafeBUS обеспечит возможность обмена конфиденциальной шифрованной информацией между организациями с учетом ее ценности и возможностью её обработки без риска компрометации, исключив недостатки, описанные выше, в том числе без доступа к внутренней корпоративной сети отправителя, при условии наличия подключения к сети интернет. Приглашаем заказчиков и партнеров провести тестирование SafeBus.
Компания PERIMETRIX – российский разработчик информационно-центричных систем безопасности.
Perimetrix SafeSpace™ – комплексное программное решение управления электронными данными, позволяющее обеспечить конфиденциальность и целостность электронной информации ограниченного доступа, при ее хранении, обработке и передаче. В основе решения — концепция управления жизненным циклом информации ограниченного доступа и уникальная технология контроля перемещений электронной информации. Решение позволяет обеспечить защищенное исполнение пользователем и приложениями рабочего процесса, ограничивая при этом всю другую, не относящуюся к выполнению бизнес-процесса, активность пользователей, приложений и процессов. Применение политик «режима» хранения, обработки и передачи классифицированных данных происходит динамически, в момент доступа к классифицированным электронным данным.
Внедрение Perimetrix SafeSpace™ позволяет выполнять требования № 149ФЗ от 27.07.2006 «Об информации, информационных технологиях и защите информации» и № 98ФЗ от 29.07.2004 «О коммерческой тайне».
Автор: Андрей Рыбин, Директор по развитию PERIMETRIX